Squid запрет просмотра определенных ресурсов

Vladisl@v · 05.08.2005, 13:31

вот копаю инфу как запретить смотреть через проксю опред. сайты ? Какой параметр за это отвечает, если можно на примере. спасибо.

Гхост-цзы · 05.08.2005, 14:13

Цитата (Vladisl@v) »

вот копаю инфу как запретить смотреть через проксю опред. сайты ? Какой параметр за это отвечает, если можно на примере. спасибо.

Первый шаг - создаём acl; второй шаг - запрещаем либо разрешаем ситуацию, описанную в acl.
Пример - запрет доступа к сайтам, url которых содержит выражение rambler:

acl rambler_stop url_regex rambler
...
...
...
http_access deny rambler_stop

Вообще говоря, можно сделать проще - задать все запрещённые выражения URL-ов в одном файле и указать к нему путь:
acl stop_list url_regex "(путь_к_файлу)"

http_access deny stop_list

В указанном файле - просто перечисляем регексы в столбик

.

! При этом всегда надо помнить, что порядок срабатывания acl имеет значение; то есть, для блокировки урлов http_access deny stop_list обычно следует указать первым среди http_access-ов.

Более подробно смысл описанных манипуляций можно глянуть здесь: http://www.opennet.ru/base/net/squid_inst.txt.html

Vladisl@v · 05.08.2005, 14:17

нашел

acl Net194 dst 194.67.0.0/16
http_access deny Pupkin Net194

или что еще красивее

acl SitesWarez dstdomain .nnm.ru .kpnemo.ru
http_access deny Pupkin SitesWarez

люди давайте обменивать интересной инфой по конфигурации линухов - с примера и т.д. ведь многих интересует, многие каждый день конфигурят, потом глядишь и фаг хороший получится

Гхост-цзы · 05.08.2005, 14:54

Ну я лично как раз использую

acl stop_list url_regex "(путь_к_файлу)"
http_access deny stop_list

В указанном файле - просто перечислены регексы в столбик.

Vladisl@v · 05.08.2005, 15:08

т.е. можно к примеру в файле указать хосты?
типа:
xx.com
yyy.ru
ssss.nu

будет есть?

Гхост-цзы · 05.08.2005, 15:19

Цитата (Vladisl@v) »

т.е. можно к примеру в файле указать хосты?
типа:
xx.com
yyy.ru
ssss.nu

будет есть?

Можно, но для доменов надо будет подправить тип acl:
acl stop_list dstdomain "(путь_к_файлу)"

и запрещённые домены указывать в файл так:
.xx.com
.yyy.ru
.ssss.nu

А для упомянутого мной
acl stop_list url_regex "(путь_к_файлу)"
содержимое целевого файла примерно такое

:

porn
mp3
sex
prostitutk
kroshk

и т. п.

Vladisl@v · 05.08.2005, 15:21

да и как именно для этого события написать отдельный error т.е. чтобы при срабытывании этого правила squid выдавал не стандартный ERR_ACCESS_DENIED а др.?

Гхост-цзы · 05.08.2005, 16:47

Была у меня тоже идея заменить стандартное сообщение сквида на нечто более проникновенное.

Но всё лень.
Вообще-то для этого я собирался подправить стандартные сообщения, кои находятся (при установленном сквиде по умолчанию в каталог /usr/local/squid/) в /usr/local/squid/share/errors/English и /usr/local/squid/share/errors/Russian.

Vladisl@v · 05.08.2005, 17:12

поправить стандартное не проблема

просто хочется чтобы при заходе на определенный в файле сайт человек получил чувтсвенное сообщение сообщение

есть параметр deny_info тока что-то не догоню я мануал по нему
TAG: deny_info
# Usage: deny_info err_page_name acl
# or deny_info http://... acl
# Example: deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys
#
# This can be used to return a ERR_ page for requests which
# do not pass the 'http_access' rules. A single ACL will cause
# the http_access check to fail. If a 'deny_info' line exists
# for that ACL then Squid returns a corresponding error page.
#
# You may use ERR_ pages that come with Squid or create your own pages
# and put them into the configured errors/ directory.
#
# Alternatively you can specify an error URL. The browsers will then
# get redirected (302) to the specified URL. %s in the redirection
# URL will be replaced by the requested URL.
#
# Alternatively you can tell Squid to reset the TCP connection
# by specifying TCP_RESET.

zhmurik · 10.08.2005, 15:35

А еще можно сделать

acl SitesWarez dstdomain .nnm.ru .kpnemo.ru
acl admin src 1.1.1.1
http_access deny Pupkin SitesWarez !admin

Тогда будет блокироваться всем кроме компа с адресом 1.1.1.1
Но через файл удобнее.

Pingvinych · 17.08.2005, 21:55

Про сайты и отдельных пользователй - это понятно... А как сквидом резать баннеры и всплывающие окна...?

DimycH · 25.07.2006, 13:36

Ну, баннеры тоже обычено "имеют в себе" что-то типа ad., counter., etc. Так что действия в принципе те же.

Werter123 · 26.07.2006, 11:46

Я так понимаю можно и так использовать сквиду
Создать acl список разрешенных сайтов т к нему дать доступ группе пользователей
У меня как раз стоит вопрос о переходе с виндовского сервера на Линукс и тормозит тока мой малый опыт
У меня задача такая стоит из общей сети части пользователям дать доступ ко всему а друой части только к списку определенных сайтов который надо изредка править. А список может содержать как url так и указания адреса хоста сетей и подсети

Гхост-цзы · 26.07.2006, 20:26

Цитата (Pingvinych) »

Про сайты и отдельных пользователй - это понятно... А как сквидом резать баннеры и всплывающие окна...?

резать всплывающие окна проще (и правильнее) через настройки браузера;
а с баннерами, как справедливо замечено, принцип тот же:
acl anti_banner url_regex "(путь_к_файлу)"
http_access deny anti_banner

в указанном файле - просто перечислены регексы (обычно содержащие регекс banner ); в инете можно найти несколько источников (некоторые из них достаточно регулярно обновляются) с "базой" баннерных регекспов, т.е. грубо говоря - с образцом указанного файла

blackspider · 11.06.2013, 11:17

Здрасти участники форума.
Вот такая проблема меня мучает.
через группу в AD хочу заблокировать пользователям доступ к развлекательным сайтам, группа называется inetrelax.
что я сделал:
acl stop_relax url_regex "/etc/squid/acl/stoprelax.acl"
acl login_ad proxy_auth REQUIRED
external_acl_type nt_groups ttl=60 %LOGIN /usr/lib64/squid/wbinfo_group.pl
acl users_relax external nt_groups domain.local@InetRelax
http_access allow localnet
http_access allow localhost
http_access allow users_relax stop_relax
http_access deny stop_relax
http_access allow login_ad
http_access deny all
и не работает, перечисленный сайты не работают, но если поменять местами строчки вот так:
http_access allow users_relax stop_relax
http_access deny stop_relax
http_access allow localnet
http_access allow localhost
то сайты режутся но при этом постоянно запрашивается логин\пароль
Сквид настроен на авторизацию через группу в домене, если пользователь в групе- инет есть, если нет, то инета нет
Очень прошу помочь разобраться, ели нужно, могу выложить весь конфиг сквида.
и хотелось бы чтобы добавив пользователя в группу у него появился доступ к этим ресурсам

vot · 14.06.2013, 06:01

Настройка сквида для совсем ленивых.
http://webmin.com
Скачиваешь.
Устанавливаешь.
Получаешь веб морду для ленивых.
Правда далеко не всё можно настраивать, но сквид вполне можно и бинд можно и апач можно.

blackspider · 17.06.2013, 11:50

я не доверяю настройке через вебморду... хотелось бы все самому ручками, в консольке

и вопрос снят, сам разобрался

vot · 17.06.2013, 17:26

Цитата (blackspider) »

я не доверяю настройке через вебморду... хотелось бы все самому ручками, в консольке

и вопрос снят, сам разобрался

Какая разница каким именно способом править конфигурационные файлы?
Хоть с помощью текстового редактора vi, хоть через веб морду - всё сводится именно к этому.

05.08.2005, 13:31	Вверх #1
Vladisl@v Умудрённый Автор темы Регистрация: 16.04.2003 Адрес: Краснодар	Squid запрет просмотра определенных ресурсов вот копаю инфу как запретить смотреть через проксю опред. сайты ? Какой параметр за это отвечает, если можно на примере. спасибо.

05.08.2005, 14:13	Вверх #2
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (Vladisl@v) » вот копаю инфу как запретить смотреть через проксю опред. сайты ? Какой параметр за это отвечает, если можно на примере. спасибо. Первый шаг - создаём acl; второй шаг - запрещаем либо разрешаем ситуацию, описанную в acl. Пример - запрет доступа к сайтам, url которых содержит выражение rambler: acl rambler_stop url_regex rambler ... ... ... http_access deny rambler_stop Вообще говоря, можно сделать проще - задать все запрещённые выражения URL-ов в одном файле и указать к нему путь: acl stop_list url_regex "(путь_к_файлу)" http_access deny stop_list В указанном файле - просто перечисляем регексы в столбик . ! При этом всегда надо помнить, что порядок срабатывания acl имеет значение; то есть, для блокировки урлов http_access deny stop_list обычно следует указать первым среди http_access-ов. Более подробно смысл описанных манипуляций можно глянуть здесь: http://www.opennet.ru/base/net/squid_inst.txt.html __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

05.08.2005, 14:54	Вверх #4
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Ну я лично как раз использую acl stop_list url_regex "(путь_к_файлу)" http_access deny stop_list В указанном файле - просто перечислены регексы в столбик. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

05.08.2005, 15:19	Вверх #6
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (Vladisl@v) » т.е. можно к примеру в файле указать хосты? типа: xx.com yyy.ru ssss.nu будет есть? Можно, но для доменов надо будет подправить тип acl: acl stop_list dstdomain "(путь_к_файлу)" и запрещённые домены указывать в файл так: .xx.com .yyy.ru .ssss.nu А для упомянутого мной acl stop_list url_regex "(путь_к_файлу)" содержимое целевого файла примерно такое : porn mp3 sex prostitutk kroshk и т. п. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

05.08.2005, 16:47	Вверх #8
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Была у меня тоже идея заменить стандартное сообщение сквида на нечто более проникновенное. Но всё лень. Вообще-то для этого я собирался подправить стандартные сообщения, кои находятся (при установленном сквиде по умолчанию в каталог /usr/local/squid/) в /usr/local/squid/share/errors/English и /usr/local/squid/share/errors/Russian. __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

05.08.2005, 14:17	Вверх #3
Vladisl@v Умудрённый Автор темы Регистрация: 16.04.2003 Адрес: Краснодар	нашел acl Net194 dst 194.67.0.0/16 http_access deny Pupkin Net194 или что еще красивее acl SitesWarez dstdomain .nnm.ru .kpnemo.ru http_access deny Pupkin SitesWarez люди давайте обменивать интересной инфой по конфигурации линухов - с примера и т.д. ведь многих интересует, многие каждый день конфигурят, потом глядишь и фаг хороший получится

05.08.2005, 15:08	Вверх #5
Vladisl@v Умудрённый Автор темы Регистрация: 16.04.2003 Адрес: Краснодар	т.е. можно к примеру в файле указать хосты? типа: xx.com yyy.ru ssss.nu будет есть?

05.08.2005, 15:21	Вверх #7
Vladisl@v Умудрённый Автор темы Регистрация: 16.04.2003 Адрес: Краснодар	да и как именно для этого события написать отдельный error т.е. чтобы при срабытывании этого правила squid выдавал не стандартный ERR_ACCESS_DENIED а др.?

05.08.2005, 17:12	Вверх #9
Vladisl@v Умудрённый Автор темы Регистрация: 16.04.2003 Адрес: Краснодар	поправить стандартное не проблема просто хочется чтобы при заходе на определенный в файле сайт человек получил чувтсвенное сообщение сообщение есть параметр deny_info тока что-то не догоню я мануал по нему TAG: deny_info # Usage: deny_info err_page_name acl # or deny_info http://... acl # Example: deny_info ERR_CUSTOM_ACCESS_DENIED bad_guys # # This can be used to return a ERR_ page for requests which # do not pass the 'http_access' rules. A single ACL will cause # the http_access check to fail. If a 'deny_info' line exists # for that ACL then Squid returns a corresponding error page. # # You may use ERR_ pages that come with Squid or create your own pages # and put them into the configured errors/ directory. # # Alternatively you can specify an error URL. The browsers will then # get redirected (302) to the specified URL. %s in the redirection # URL will be replaced by the requested URL. # # Alternatively you can tell Squid to reset the TCP connection # by specifying TCP_RESET.

10.08.2005, 15:35	Вверх #10
zhmurik Продвинутый Регистрация: 06.02.2003 Адрес: Калининград	А еще можно сделать acl SitesWarez dstdomain .nnm.ru .kpnemo.ru acl admin src 1.1.1.1 http_access deny Pupkin SitesWarez !admin Тогда будет блокироваться всем кроме компа с адресом 1.1.1.1 Но через файл удобнее. __________________ With best wishes!

17.08.2005, 21:55	Вверх #11
Pingvinych Начинающий Регистрация: 01.12.2003 Адрес: Москва	Про сайты и отдельных пользователй - это понятно... А как сквидом резать баннеры и всплывающие окна...?

25.07.2006, 13:36	Вверх #12
DimycH Начинающий Регистрация: 04.05.2004 Адрес: Minsk	Ну, баннеры тоже обычено "имеют в себе" что-то типа ad., counter., etc. Так что действия в принципе те же. __________________ Бывает и хуже!

26.07.2006, 11:46	Вверх #13
Werter123 Опытный Регистрация: 06.01.2006 Адрес: Усть-Каменогорск	Я так понимаю можно и так использовать сквиду Создать acl список разрешенных сайтов т к нему дать доступ группе пользователей У меня как раз стоит вопрос о переходе с виндовского сервера на Линукс и тормозит тока мой малый опыт У меня задача такая стоит из общей сети части пользователям дать доступ ко всему а друой части только к списку определенных сайтов который надо изредка править. А список может содержать как url так и указания адреса хоста сетей и подсети __________________ Si vis pacem para bellum

26.07.2006, 20:26	Вверх #14
Гхост-цзы Умудрённый Регистрация: 04.06.2004	Цитата (Pingvinych) » Про сайты и отдельных пользователй - это понятно... А как сквидом резать баннеры и всплывающие окна...? резать всплывающие окна проще (и правильнее) через настройки браузера; а с баннерами, как справедливо замечено, принцип тот же: acl anti_banner url_regex "(путь_к_файлу)" http_access deny anti_banner в указанном файле - просто перечислены регексы (обычно содержащие регекс banner ); в инете можно найти несколько источников (некоторые из них достаточно регулярно обновляются) с "базой" баннерных регекспов, т.е. грубо говоря - с образцом указанного файла __________________ Крылья знаний меня от людей отлучили, Я увидел, что люди - подобие пыли.

11.06.2013, 11:17	Вверх #15
blackspider Новенький Регистрация: 11.06.2013	Здрасти участники форума. Вот такая проблема меня мучает. через группу в AD хочу заблокировать пользователям доступ к развлекательным сайтам, группа называется inetrelax. что я сделал: acl stop_relax url_regex "/etc/squid/acl/stoprelax.acl" acl login_ad proxy_auth REQUIRED external_acl_type nt_groups ttl=60 %LOGIN /usr/lib64/squid/wbinfo_group.pl acl users_relax external nt_groups domain.local@InetRelax http_access allow localnet http_access allow localhost http_access allow users_relax stop_relax http_access deny stop_relax http_access allow login_ad http_access deny all и не работает, перечисленный сайты не работают, но если поменять местами строчки вот так: http_access allow users_relax stop_relax http_access deny stop_relax http_access allow localnet http_access allow localhost то сайты режутся но при этом постоянно запрашивается логин\пароль Сквид настроен на авторизацию через группу в домене, если пользователь в групе- инет есть, если нет, то инета нет Очень прошу помочь разобраться, ели нужно, могу выложить весь конфиг сквида. и хотелось бы чтобы добавив пользователя в группу у него появился доступ к этим ресурсам

14.06.2013, 06:01	Вверх #16
vot Запрещенный Регистрация: 15.01.2013 Адрес: Москва	Настройка сквида для совсем ленивых. http://webmin.com Скачиваешь. Устанавливаешь. Получаешь веб морду для ленивых. Правда далеко не всё можно настраивать, но сквид вполне можно и бинд можно и апач можно.

17.06.2013, 11:50	Вверх #17
blackspider Новенький Регистрация: 11.06.2013	я не доверяю настройке через вебморду... хотелось бы все самому ручками, в консольке и вопрос снят, сам разобрался Последний раз редактировалось blackspider; 17.06.2013 в 12:46.

17.06.2013, 17:26	Вверх #18
vot Запрещенный Регистрация: 15.01.2013 Адрес: Москва	Цитата (blackspider) » я не доверяю настройке через вебморду... хотелось бы все самому ручками, в консольке и вопрос снят, сам разобрался Какая разница каким именно способом править конфигурационные файлы? Хоть с помощью текстового редактора vi, хоть через веб морду - всё сводится именно к этому.